什么是主机密码暴力破解
攻击者会尝试通过系统性地猜测各种可能的用户名和密码组合,来强行获得对计算机主机(服务器、工作站等)的访问权限。这种攻击通常依赖于自动化工具,这些工具可以高速地生成并尝试成千上万甚至数百万个不同的密码组合,直到找到正确的凭证。
攻击者会寻找可以进行身份验证的入口点,例如SSH(安全外壳协议)、RDP(远程桌面协议)、FTP、MySQL、SQL Server等服务的登录页面或端口
MITRE ATT&CK 框架中暴力破解案例
编号:T1110
案例:S0599 # Kinsing 恶意软件
攻击手段:利用暴露在互联网上的、存在已知漏洞或配置错误的服务,如 SSH 服务: 通过暴力破解或利用弱凭证、泄露凭证来登录。或利用其它途径进入内网后横向横向移动;
缓解措施:1、设置账户锁定策略,在登录尝试失败一定次数后锁定账户,以防止密码被猜出。2、使用多因素身份验证。尽可能在外部服务上启用多因素身份验证。3、配置系统登录白名单【最佳方案】;
针对主机密码暴力破解的威胁狩猎
即使有再完善的防御措施,也确实无法做到百分之百的防护,因此威胁狩猎成为了主动发现潜在威胁、弥补防御盲区的重要手段。我们假设所有的防御措施已被绕过或存在未知漏洞。
威胁狩猎始于通常一个假设,对于密码暴力破解,常见的假设包括:
假设 1:攻击者正在对主机进行低慢速或分布式密码猜测,以绕过现有告警阈值。
狩猎目标:寻找不同源 IP 对同一主机/用户进行长时间、低频次的登录尝试。
假设 2:内部用户或被攻陷的内部主机正在尝试横向移动,对其他主机进行密码破解。
狩猎目标:寻找来自内部 IP 地址的、针对多个内部主机的异常登录失败。
假设 3:成功破解后攻击者正在尝试使用新获得的凭证。
狩猎目标:寻找同一账户在短时间内从多个不常见地理位置或不常见设备成功登录。
Elastic Security 实现主机密码暴力破解威胁狩猎
威胁狩猎核心数据来源:
Windows:安全事件日志 (Event ID: 4624-成功登录, 4625-登录失败, 4776-凭据验证), Sysmon 日志
Linux:/var/log/secure或 /var/log/auth.log 或 /var/log/audit.log (SSH/sudo 登录日志)。
Elastic 威胁狩猎的规则
1、规则一:记录所有操作系统登录失败事件【简单粗暴】
规则说明:根据windows 安全事件日志或linux 审计日志记录的所有系统登录失败的记录
2、规则二: Linux 主机ssh暴力破解的事件监测
规则说明:监测同源IP地址,3秒内连续10次登录失败的事件
3、规则三: Windows 主机rdp 暴力破解事件监测
规则说明:监测同源IP地址,10秒内失败10次登录失败的事件
4、威胁狩猎效果演示
总结
针对 Linux SSH 和 Windows RDP 服务的威胁狩猎,核心目标都是主动发现通过密码暴力破解或字典攻击成功获取访问权限,或正在进行这类攻击的迹象。尽管操作系统和协议不同,但威胁狩猎的思路和方法是相似的。充分假设所有可能存在的暴力破解来源和事件。无论是快速字典爆破,慢速/低频暴力破解,都将无所遁形。
